내 비밀번호는 안전할까?
모든 계정에 1~2개의 동일한 비밀번호를 사용할 경우, 비밀번호가 그다지 안전하지 않을 가능성이 높습니다. 기억할 수 있는 단어, 숫자, 문자 조합을 선택해 이를 모든 계정의 '마스터 비밀번호'로 사용하는 경우는 꽤 흔합니다. 여러분도 그 중 한 명인가요? 사실 그런 사람은 수두룩하죠. Google이 실시한 보안 설문조사에서 50% 이상이 1개 이상의 계정에서 동일한 비밀번호를 사용한다고 응답했고, 13%는 모든 계정에 동일한 비밀번호를 사용한다고 응답했습니다. 이런 습관은 좋지 못한 습관입니다. 반드시 모든 계정에서 다른 비밀번호를 사용하도록 하세요.
비밀번호 공격의 유형
비밀번호를 해킹하는 방법에는 여러 가지가 있습니다. 2개 이상의 비밀번호를 사용하는 것이 중요한 이유가 바로 여기에 있죠. 여러 개의 비밀번호가 온라인 방어 체계의 역할을 하게 되니까요.
- 무차별 공격: 이름에서 알 수 있다시피 이 공격은 해커가 순전히 불굴의 의지로 비밀번호를 공격하는 것을 의미합니다. 오래 전에 만든 계정에 로그인하는 화면에서 비밀번호가 뭔지 생각하느라 머뭇거렸던 경험, 누구나 한 번은 있을 겁니다. 이를 해커의 관점에서 살펴봅시다. 해커가 비밀번호를 추측하는 코딩을 프로그래밍할 경우 쉬운 비밀번호는 몇 초면 해킹할 수 있습니다.
- 크리덴셜 스터핑: 사이버 범죄자들은 웹사이트를 해킹해 사용자 이름과 비밀번호 목록을 입수하고, 이를 크리덴셜 스터핑 공격에 사용합니다. 공격자는 입수한 목록의 이메일 주소를 통해 웹사이트 계정을 식별한 후 훔친 비밀번호를 사용해 계정에 로그인할 수 있는지를 확인하죠. 많은 사용자가 비밀번호를 재활용하기 때문에, 데이터 유출에 따른 피해가 크리덴셜 스터핑 공격으로 인해 눈덩이처럼 불어납니다.
- 피싱: 피싱을 경험해 본 사람이라면 이것이 피싱이라는 것을 눈치챘을 겁니다. 하지만 안타깝게도 모두가 그렇게 운이 좋지는 않죠. 피싱 공격을 하는 사기꾼은 은행에서 보낸 이메일 등으로 사칭해 신용카드 정보를 알려줘야 문제를 해결할 수 있다고 피해자를 유인합니다. 그리고 보통은 유산을 상속받게 되었다는 둥 사실이라기엔 너무 달콤한 조건을 제시하죠. 일단 정보가 그들 손에 넘어가게 되면 돌이킬 수 없습니다. 은행에서 신용카드 정보를 요구하는 이메일을 받았다면 일단 사기로 의심하고 은행으로 직접 전화해 진짜인지 확인하세요.
- 사전 공격: 사전 공격은 무차별 공격과 유사하게 사용자가 흔한 비밀번호를 사용한다는 것을 전제로 공격을 감행합니다. 그리고 실제로도 사람들은 흔한 비밀번호를 사용하곤 하죠. 비밀번호가 1~2개의 표준 단어로 구성되어 있다면 사전의 단어를 순차적으로 대입하는 이 공격에서 살아남기는 힘듭니다.
비밀번호 보안 우수 사례
지금까지 하지 말아야 하는 행동이 무엇인지 알아봤습니다. 그렇다면 디지털 ID와 활동을 안전하게 보호하려면 어떤 조치를 취해야 할까요? 아래에서 해야 할 행동과 하지 말아야 행동을 간단하게 살펴보도록 하겠습니다.
안전한 고유 비밀번호를 사용하고 동일한 비밀번호를 반복해서 사용하지 않는다.
고유한 비밀번호가 안전한 비밀번호입니다. 여기서 '고유한' 비밀번호란 특정 사용자 이름과 계정에서만 사용하는 비밀번호를 말하죠. 비밀번호를 다른 계정에서 반복해서 사용하면 안 되고, 비밀번호가 다른 계정이나 사용자 이름과 연관성이 있어서도 안 됩니다. 강력하고 고유한 비밀번호는 다음의 요소로 구성됩니다.
- 대문자
- 소문자
- 특수 문자(!#%$*)
- 숫자
- 15자 이상
상식적으로 생각해보세요. 해커가 아니어도 누구나 5자로 된 비밀번호나 키보드 맨 위 왼쪽 모서리에서 시작하는 6개의 글자 qwerty를 비밀번호로 사용하면 20자로 된 비밀번호보다 훨씬 쉽게 해킹할 수 있다는 사실을 알고 있습니다. O 대신 0, B 대신 8, S 대신 $처럼 문자를 비슷한 숫자와 기호로 대체하는 것도 피하세요. 또한, 비밀번호는 6개월마다 변경해야 온라인 개인정보를 더 안전하게 보호할 수 있습니다. 조금 과도하다고 생각할 수도 있지만 온라인 보안의 중요성은 아무리 강조해도 지나치지 않습니다.
비밀번호 관리 프로그램을 사용한다.
여기에서는 비밀번호 생성기가 진가를 발휘합니다. 인간의 머리보다는 컴퓨터 프로그램이 해킹 프로그램을 더 잘 방어하기 마련이니까요. 예를 들어, '&*Td^zJxsQkF'처럼 극도로 안전한 비밀번호를 직접 생각해냈을 수도 있지만, 인간의 습관은 예측이 가능해 무작위 비밀번호를 만들기 위해 제아무리 노력한다고 해도 유사한 키보드 경로를 사용할 가능성이 큽니다.
2단계 인증을 사용한다.
2단계 인증은 계정으로의 액세스를 획득할 때 2가지 방식의 보안을 사용하는 것을 말합니다. 2단계 인증은 보통은 복수의 장치를 필요로 하죠. 일반적인 2단계 인증의 방식은 1단계에서는 비밀번호를 입력하고 2단계로 SMS로 전송된 일회성 코드를 입력합니다. 다른 방식으로는 계정에 연계된 휴대폰을 통한 통화 인증, 계정을 생성할 때 사용한 이메일이 아닌 다른 이메일로 전송된 코드 인증 등이 있습니다. 2단계 인증은 해커가 원래 계정으로의 액세스를 탈취한다고 해도 휴대폰이나 보조 이메일로의 액세스를 가지고 있지는 않을 것이라는 발상을 기반으로 한 인증 방식입니다. Dropbox는 계정에 2단계 인증을 적용할 수 있는 옵션을 제공합니다. 즉, SMS나 모바일 인증자 앱을 통해 문서의 보안을 2배로 강화할 수 있죠.
신뢰할 수 있는 안전한 사이트와 파일 호스팅 서비스를 사용한다.
안전한 사이트에는 주소창에 작은 자물쇠 아이콘이 표시되어 있습니다. 온라인 쇼핑을 하거나 개인정보를 공유하기 전에 반드시 이 아이콘을 확인하도록 하세요. 대부분의 사이트가 이 기능을 제공하지만, 파일과 폴더를 호스팅할 계획이라면 더 강력한 보안 기능을 갖추고 있는지 확인하는 것이 좋습니다. 예를 들어, Dropbox는 암호화 기술과 엄격한 컴플라이언스 준수를 통해 여러 계층으로 보호되는 클라우드 보안을 제공합니다.
공용 Wi-Fi나 보안이 취약한 Wi-Fi는 사용하지 않는다.
공용 Wi-Fi 핫스팟은 개방된 연결이라 누구나 사용할 수 있습니다. 그래서 나쁜 의도를 가진 사람이 마음만 먹으면 순식간에 다른 사용자의 정보를 빼낼 수 있죠. 일반적으로 공용 Wi-Fi 핫스팟에서는 은행 정보나 신용카드 번호 등의 정보를 공유하지 않는 것이 좋습니다.
비밀번호 보안을 유지하는 것은 대단히 중요합니다. 비밀번호 보안을 유지하려면 위에 언급된 단계들을 오랫동안 바뀌지 않는 습관으로 만들어야 하죠. 우리는 인간에 불과한지라 기억할 수 있는 비밀번호의 수에는 한계가 있습니다. 하지만 다행스럽게도 비밀번호 관리 프로그램이 우리 대신 비밀번호를 기억해주죠. 비밀번호 관리는 아무리 공을 들여도 지나치지 않습니다. 비즈니스든, 프리랜서든, 개인적으로 친구와 문서를 공유하든, Dropbox는 여러분의 비밀번호 보안을 나의 일처럼 소중하게 여깁니다.
